駭客利用假冒Gemini與Claude安裝網站散布惡意軟體,竊取開發者帳號與開發環境資料
來源: iThome
URL: https://www.ithome.com.tw/news/176273
發布日期: 2026-06-01
報告來源: EclecticIQ(https://blog.eclecticiq.com/seo-poisoning-campaign-leverages-gemini-and-claude-code-impersonation-to-deliver-infostealer)
摘要
駭客利用開發者對 AI 開發工具的需求,透過 SEO Poisoning(搜尋引擎排名操縱) 手法,偽造 Gemini CLI 與 Claude Code 安裝網站,誘導開發者下載含惡意軟體的安裝程式。活動自 2025年3月 開始出現,由資安研究者 @g0njxa 最初揭露。
攻擊流程
- 建立假冒網站(如
geminicli[.]co[.]com、claudecode[.]co[.]com) - 操縱 SEO 使假網站排名靠前
- 誘導開發者複製並執行網站提供的 PowerShell 安裝指令
- 指令在背景下載惡意軟體,同時安裝真正的工具以降低察覺機率
惡意軟體特性
- 無檔案資訊竊取程式(Fileless Infostealer):完全在記憶體中運行,不寫入本機磁碟
- 停用 Windows 安全機制:
- AMSI(惡意軟體掃描介面)
- ETW(事件追蹤)
- 竊取目標資料:Cookie、登入資訊、加密金鑰、Local State
- 涵蓋對象:瀏覽器、企業協作平臺、遠端存取工具、數位錢包、雲端儲存
- 具備遠端執行指令能力
防禦建議
| 措施 | 說明 |
|---|---|
| 驗證下載來源 | 仔細確認軟體官方網站 |
| 啟用 PowerShell CLM | 強制啟用受限語言模式(Constrained Language Mode) |
| 採用 FIDO 安全金鑰 | 降低身分與存取風險 |
衍生頁面
- 駭客利用假冒Gemini與Claude安裝網站散布惡意軟體竊取開發者帳號與開發環境資料 — 主要事件概念頁
- eclecticiq — 報告發布機構